1.

Un sistema de gestión de la seguridad de la información es complicado para gestión de la

propia organización, pero en un futuro se convierte en una ayuda para mejorar la
seguridad de la información.

Respuesta: Verdadero

2. Las TI empresarial aborda roda la empresa, no es exclusiva para TI de una organización

Respuesta: Verdadero

3. El entorno de gobierno de COBIT debe asegurar:

a. Define los factores de gestión que deberías ser considerados por la empresa para crear un
sistema de gobierno más adecuado
b. Las necesidades, condiciones y opciones de las partes interesadas se evalúan para
determinar objetivos empresariales equilibrados y acordados
c. Pone la diferencia entre el gobierno y la gestión
d. Planifica, construye, ejecuta y monitorea actividades en línea con la dirección establecida
por la empresa

4. Seleccione los aspectos que debería auditar las acciones de liderazgo en un sistema de
gestión de la información
a. Proceso de creación de un plan para abordar riesgos y oportunidades consideradas las
expectativas de las partes interesadas en relación a la seguridad de la información (podría
ser)
b. Establecimiento de un mecanismo de provisión de los recursos materiales y humanos
necesarios para el cumplimiento de los objetivos
c. Proceso donde se establezca las no conformidades y acciones correctivas como los
procedimientos documentados para identificar y registrar las no conformidades (podría ser)
d. Establecer mecanismo de control para validar si se encuentran identificados los objetivos del
SGS

5. Seleccione la respuesta correcta relacionado con los tipos de procesos de un sistema de

seguridad de la información
a. Procesos enfocados a conseguir las metas empresariales apoyadas en TIC y los procesos que
se integran dentro de los procesos propios de cada actividad
b. Proceso de gestión y cambio y cultura de la organización
c. Procesos enfocados a conseguir únicamente de los objetivos propios del sistema de
seguridad de información y los procesos que evalúan su cumplimiento
d. Procesos enfocados a conseguir la revisión y mejora continua del sistema y que serán
comunes a los procesos de gestión de calidad, medio ambiente

6. Selecciones los aspectos que debería auditar las acciones de planificación en un sistema de
gestión de la información
 a. Establecimiento de un mecanismo de provisión de recursos materiales y humanos
necesarios para el cumplimiento de los objetivos, creación de una política
b. Proceso donde se establezca las no conformidades y acciones correctivas, como los
procedimientos documentales
c. Proceso de creación de un plan para abordar riesgos y oportunidades considera las
expectativas de las partes interesadas en relación a la seguridad
d. Establecer mecanismos de control para validad si se encuentra identificadas los objetivos del
SGS

7. Seleccione el rol encargado de alinear las TI y las estrategias de negocio

a. Ejecutivo de negocios
b. Jefe de arquitectura
c. Director General operativo
d. Director de sistemas de información

8. Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la
adecuación de los controles internos respecto a los objetivos del sistema de gestión

Respuesta: Verdadero

9. Usted trabaja como auditor de TI en una empresa de tamaño medio en la que la

información confidencial ha caído varias veces en manos equivocadas. Este suceso daño la
imagen de la empresa y le han pedido que realice una auditoría, usted establece algunos
procedimientos de control. ¿Cuál sería la recomendación que no debería falta?
a. Formular una política de uso relativa a los dispositivos móviles (computadoras, portátiles,
USB, discos portátiles, teléfonos integrales)
b. Formular una política de verificación de activos de la empresa
c. La necesidad de designar personal de seguridad física
d. Formular una política de acceso a las oficinas por parte de los empleados
e. Formular una política de control de acceso

10. ¿Cuál de ellos siguientes se utiliza para definir los roles?

a. Matriz de funciones
b. Matriz de alineamiento al negocio
c. Matriz de metas empresariales
d. Matriz RACI

11. La empresa XYZ ha indicado en que el proceso de control interno utilizará únicamente
COSO, porque no se puede trabajar con COBIT 5 que son dos marcos de referencia que
tienen diferentes objetivos.

Respuesta: Falso
 12. Selecciones 3 áreas claves de gobierno de COBIT
a. Evaluar, ejecutar y supervisar
b. Evaluar, planificar y supervisar
c. Evaluar, gestionar y supervisar
d. Evaluar, orientar y supervisar

13. La estructura organizacional de tecnología de información debe considerar:

a. Estrategias institucionales
b. Avances tecnológicos
c. Priorizar los objetivos internos de TI
d. Necesidades del usuario
e. Considerar diferentes unidades responsables

14. ES el riesgo al que se enfrenta la entidad en ausencia de acciones para modificar la

probabilidad e impacto.
a. Riesgo operativo
b. Riesgo inherente
c. Riesgo de control
d. Riesgo residual
e. Riesgo transaccional

15. La unidades de tecnología deben estar acopladas a : (Seleccione 1 o más )

a. Marco de trabajo por actividades
b. Marco de trabajo por funciones
c. Responsabilidad compartida para mejorar la efectividad
d. Con autonomía para tomar decisiones unilaterales
e. Responsabilidad de una unidad
f. Orientada solamente a infraestructura de TI
g. Involucramiento de alta dirección
h. Marco de trabajo para procesos

16. Que significa cada una de estas acciones

Servicios de directorio: se refiere a un tipo específico de herramienta que se utiliza para gestionar los
derechos de acceso de los usuarios

Servicios: los usuarios no usan solamente un servicio, y cuando ejecutan un conjunto de actividades
similares pueden utilizar un conjunto similar de servicios. En lugar de proporcionar el acceso
individual a cada servicio, es más eficiente conceder a un grupo de usuarios el acceso completo a los
servicios que tienen derecho

Identidad: se refiere a la información sobre el usuario, que lo distingue de los demás y muestra su
situación dentro de la organización
Privilegios: se refiere a la reglamentación definida que determina el acceso ofrecido al usuario para
un servicio o un grupo de servicios

17. Cual es la norma de control interno de la controlaría general del estado que se está
cumpliendo con los siguientes datos

a. 410-03
b. 410-05
c. 410-04 à Políticas y procedimientos
d. 410-01
e. 410-02
18. Cuál es la norma de control interno de la controlaría general del estado que se está
cumpliendo con los siguientes datos

a. 410-12
b. 410-15
c. 410-16
d. 410-13
e. 410-14

19. Qué aspectos debe controlar en un centro de servicios?

a. Análisis de vulnerabilidades de los servicios entregados
b. Informar de restauración del servicio, evaluación de los niveles de calidad, informes de
gestión de incidentes.
c. Listado de llamadas atendidas, listado de personal a cargo
d. Listado de personal a cargo con funciones
e. Sistema de control interno para cumplimiento de infraestructura

20. Seleccione el ciclo de vida que debe tener un incidente y su documentación

a. Investigación y diagnóstico, resolución y recuperación, cierre
b. Análisis de base de conocimiento, documentación, cierre
c. Recepción, estadísticas, análisis, cierre
d. Recepción del pedido, registra, cierre
e. Validación, inspección, cierre

21. En relación a las funciones relaciones según corresponda

Gestión técnica: función responsable de proporcionar habilidades técnicas para el soporte y los
servicios de TI y para la gestión de la infraestructura de T

Gestión de operaciones: función responsable de la gestión y el mantenimiento continuo de la

infraestructura de TI de una organización, lo que garantiza la entrega del nivel acordado de servicios
de TI para el negocio.

Gestión de aplicaciones: se encarga de la gestión de los aplicativos durante su ciclo devida

Gestión de servicios: proporciona un único punto de contacto para los clientes y usuarios para
gestionar la solución de incidentes y asuntos relacionados con el soport

22. Para determinar la prioridad, se utiliza como buena práctica la combinación de impacto y
el costo del incidente
a. Verdadero
b. Falso

23. Para auditar los elementos de soporte de un Sistema de Información se debe considerar
procedimiento de control relacionados con la información actualizada sobre la
competencia del personal
a. Verdadero
b. Falso
24. Cómo se logra los objetivos de gobierno de “Creación de Valor”
a. Todas las anteriores
b. Al optimizar el riesgo
c. Al conseguir los beneficios
d. Al optimizar los recursos

25. Definido por COBIT, quien es el responsable por el gobierno de TI?

(Seleccione una)

a. Clientes y proveedores
b. Gestores y líderes de TI
c. Inversionistas y accionistas
d. Ejecutivos y directivos

26. COBIT ayuda a decidir cuál es la mejor estrategia de TI, cual es la mejor arquitectura,
cuánto puede o debe costar la TI
a. Verdadero
b. Falso

27. La unidad de tecnología de información debe efectuarse…

(Seleccione una)
a. Orientada totalmente al apoyo a la alta dirección y unidades, participando en la toma de
decisiones
b. Asesoría y apoyo a la alta dirección y unidades usuarias exclusivamente trabajando por
atender sus requerimientos
c. Asesoría y apoyo a las unidades usuarias exclusivamente trabajando por atender sus
requerimientos
d. Asesoría y soporte técnico a la alta dirección, solamente tomando decisiones de TI

28.La gestión de peticiones tiene las siguientes actividades:

a. Costos asociados y autorización si es pertinente
b. Entrega y cierre del servicio
c. Validación con TI la aplicación de la petición
d. Usuarios presentan sus solicitudes
29.En la gestión de aplicaciones debe establecer controles para el levantamiento de
requisitos, diseño, construcción, implementación, operación e implementación
a. Verdadero
b. Falso

30. Seleccione cuales son incidentes graves:

a. Se ejecutan en una fecha especifica
b. Medio nivel de impacto sobre el negocio
c. Son planificados
d. Tienen mecanismo de priorización
e. Se ejecutan con plazos cortos y mayor nivel de urgencia
f. Alto impacto sobre el negocio
g. Se ejecutan con plazos más largo pero precisos

31. Seleccione los componentes de un sistema de seguridad

a. Incluye una cuantificación de las veces que acceden los usuarios
b. Incluir un proceso continuo
c. Procesos para mantener e implementar la seguridad de la información
d. Incluye aspectos de personal de contabilidad
e. Incluye análisis de los procesos empresariales
f. Incluye análisis de riesgos
g. Incluye una caracterización de cargos de todos los funcionarios

32. La estructura organizacional de tecnología de información debe considerar:

a. Considerar diferentes unidades responsables
b. Necesidades de los usuarios
c. Estrategias institucionales
d. Priorizar los objetivos internos de TI
e. Avances tecnológicos
 33. La gestión de problemas es una forma de reducir el número de incidentes, a través de este
proceso, solamente se analizan los problemas
a. Verdadero
b. Falso

34. La categorías de los eventos son:

Eventos de excepción:
Eventos de alerta:
Eventos informativos:
OPCIONES
más de 3000 usuarios conectados de forma simultánea en una misma aplicación.
aumento de consumo de memoria al 75% por encima de lo planificado en los últimos 15
minutos.
trabajo en cola completado con éxito.

35. Como calificar el siguiente enunciado?

“El tiempo de transacción es superior a los límites normales”

a. Ataque
b. Reconfiguración
c. Problema
d. Incidente
e. Evento

36. Según la recomendación de ITIL, no es necesario tener un gestor de eventos

a. Verdadero
b. Falso

37. Seleccione las características de la NORMA ISO 27000 de seguridad

a. Le interesa a cualquier tipo de empresa sin importar su tamaño y actividad
b. Se orienta a mejorar la productividad de la empresa
c. Se orienta a los activos fijos de la empresa
d. Es una adaptación de ISO de la norma británica BS 7799-2
e. Permite validar los procesos de la empresa

38. El entorno de gobierno de COBIT debe asegurar: (Seleccione una)

 a. Planifica, construye, ejecuta y monitorea actividades en línea con la dirección establecida
por la empresa.
b. Pone la diferencia entre el gobierno y la gestión
c. Define los factores de gestión que deberían ser considerados por la empresa para crear un
sistema de gobierno más adecuado.
d. Las necesidades, condiciones y opciones de los partes interesadas se evalúan para
determinar objetivos empresariales equilibrados y acordados.
39. Cuál es el concepto de incidente?
a. Procesos ejecutados, que entrara en evaluación a partir de los eventos comunicados por los
usuarios a través de las herramientas de monitoreo.
b. Procesos informados que entrara en funcionamiento a partir de los incidentes comunicados
por los usuarios a través de las herramientas de monitoreo.
c. Procesos programados, que entrara en funcionamiento a partir de los eventos comunicados
por los usuarios a través de las herramientas de monitoreo.
d. Procesos más reactivos, que entrara en funcionamiento a partir de los eventos comunicados
por los usuarios a través de las herramientas de monitoreo.
e. Procesos planificados, que entrara en funcionamiento a partir de los eventos comunicados
por los usuarios a través de las herramientas de monitoreo.

40. Un según corresponda los elementos anotados:

Nivel 0:
Nivel 1:
Nivel 2:
Nivel 3:
Nivel 4:
Nivel 5:
41. La empresa XYZ ha indicado en que el proceso de control interno utilizara únicamente
COSO, porque no se puede trabajar con COBIT5 ya que son marcos de referencia que
tienen diferentes objetivos.
a. Verdadero
b. Falso

42. La empresa pública “LA PODEROSA” ha invertido en la formación del administrador de

base de datos actualmente es el único que puede dar acceso a la información en función
de esto a que norma de la contraloría está incumpliendo
a. 410-02 (segregacion de funciones)
b. 410-03 (plan informatico estrategico de tecnologia)
c. 410-04 (politicas y procedimientos)
d. 410-05 (modelo de informacion organizacional)
e. 410-01 (organización informatica)
 43. SELECCIONE LOS ASPECTOS QUE DEBERÍAN AUDITAR LAS ACCIONES DE PLANIFICACIÓN EN
UN SISTEMA DE GESTIÓN DE LA INFORMACIÓN:
SELECCIONE UNA O MÁS DE UNA:

Establecimiento de un mecanismo de provisión de los recursos materiales y

humanos necesarios para el cumplimiento de los objetivos, creación de una política de la
seguridad de la información con su documentación respectiva.
Proceso donde se establezca las no conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su
tratamiento.
Proceso de creación de un plan para abordar riesgos y oportunidades considera las
expectativas de las partes interesadas en relación a la seguridad de la información, un proceso
de establecimiento de objetivos de la seguridad de la información medibles y acordes a los
objetivos del negocio, la integración de los objetivos de la seguridad de la información en los
procesos de la organización teniendo en cuenta las funciones principales dentro de la
organización
Establecer mecanismos de control para validar si se encuentran identificados los
objetivos del SGS Sistema de control.

44. UN SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ES COMPLICADO PARA

LA GESTIÓN DE LA PROPIA ORGANIZACIÓN, PERO EN UN FUTURI SE CONVIERTE EN UNA
AYUDA PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN

Verdadero
Falso

45. LAS SIGUIENTES PREGUNTAS A QUÉ ETAPA DEL COSO CORRESPONDEN:

¿difunde la visión y misión del SNIEG?

¿El personal conoce el objeto general, las atribuciones y los principales procesos y proyectos
a cargo de la unidad administrativa?
¿Promueve la observancia del Código de ética?
¿Realiza actividades que fomentan la integración de su personal y favorecen el clima
laboral?
¿Para desarrollar y retener al personal competente cumple con las disposiciones normativas
del Servicio Profesional de Carrera del INEGI?
¿El manual de organización de la unidad administrativa está actualizado y correspondes con
la estructura organizacional autorizada?
¿Los perfiles y descripciones de los puestos están definidos y alineados con las funciones de
la unidad administrativas?

Respuesta : AMBIENTE DE CONTROL

 46. LAS CARACTERÍSTICAS DE LOS INCIDENTE GRAVES SON:

Son planificados
Se ejecutan con plazos más cortos y mayor nivel de urgencia
Se ejecutan en una fecha específica
Tienen mecanismo de priorización
Medio nivel de impacto sobre el negocio
Se ejecutan con plazos más largo pero precisos
Alto impacto sobre el negocio

47. DENTRO DE UNA ORGANIZACIÓN SE HA GENERADO UN INCIDENTE RELACIONADO CON UN

EEROR EN EL ACCESO DE LOS USUARIOS, ESTE ES CALIFICADO CON PRIORIDAD 1 Y LA
VELOCIDAD DE EMERGENCIA MEDIA ¿CUÁL ES EL IMPACTO QUE TIENE?

a. 4
b. 1
c. 5
d. 2
e. 3

48. ¿QUÉ ASPECTOS DEBO CONTROLAR EN UN CENTRO DE SERVICIOS?

a. Sistema de control interno para cumplimiento de infraestructura
b. Listado de personal a cargo con funciones
c. Informar de restauración del servicio, evaluación de los niveles de calidad, informes
de gestión de los incidentes
d. Listado de llamadas atendidas, listado de personal a cargo
e. Análisis de vulnerabilidades de los servicios entregados

49. DENTRO DE UN CONTRATO DE SOPORTE TÉCNICO UNO DE LOS ELEMENTOS A REVISAR ES

QUE EN EL MANEJO DE INCIDENTE SE ENCUENTRE DESCRITO LOS LÍMITES DE TIEMPO
PARA EL ESCALAMIENTO ES DECIR LOS LÍMITES DE TIEMPOS SE DEBEN DEFINIR PARA
TODAS LAS FASES DE TRATAMIENTO CON EL INCIDENTE

Verdadero
Falso
50. DENTRO DE LAS RESPONSABILIDADES DE LA GESTIÓN SE INCLUYE ACTIVIDADES DE
PLANIFICACION Y MONITOREO EN ALINEACIÓN CON LA DIRECCIÓN ESTABLECIDA POR EL
CUERPO DE GOBIERNO PARA ALCANZAR LOS OBJETIVOS DE:
a. Cada uno de los principios de Gobierno
b. De la empresa
c. De las partes interesadas
d. Relacionadas con TI
51. LAS UNIDADES DE TI DEBEN CONTEMPLAR AL MENOS LAS SIGUIENTES UNIDADES
A. Proyectos tecnológicos considerando el tamaño de la entidad y de la unidad tecnológica
B. Infraestructura tecnológica y soporte interno siempre y externo de ser el caso, considerando
el tamaño de la entidad y de la unidad de tecnología
C. Infraestructura tecnológica. Proyectos tecnológicos y soporte técnico obligatoriamente en
todas las empresas
D. Considerar los proyectos tecnológicos, infraestructura tecnológica y soporte interno siempre
y externo considerando el tamaño de la entidad
52. SELECCIONE LOS ASPECTOS QIE DEBERÍAN AUDITAR LAS ACCIONES DE MEJORA O DENTRO
DE UN SISTEMA DE GESTIÓN DE LA INFORMACIÓN
a. Proceso de creación de un plan para abordar riesgos y oportunidades considera las
expectativas de las partes interesadas en relación a la seguridad de la información,
un proceso de establecimiento de objetivos de la seguridad de la información
medibles y acordes a los objetivos del negocio, la integración de los objetivos de la
seguridad de la información en los procesos de la organización teniendo en cuenta
las funciones principales dentro de la organización
b. Proceso donde se establezca las no conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su
tratamiento
c. Establecimiento de un mecanismo de provisión de los recursos materiales y
humanos necesarios para el cumplimiento de los objetivos, creación de una política
de la seguridad de la información con su documentación respectiva
d. Establecer mecanismos de control para validar si se encuentran identificados los
objetivos SGS sistema de gestión de la seguridad de la información. Levantamiento
de las expectativas de las partes interesadas e identificación de las mismas y el
establecimiento e implementación que incluya una revisión planificada
considerando oportunidades de mejora
53. ¿DEFINIDO POR COBIT, QUIEN ES EL RESPOSABLE POR EL GOBIERNO DE TI?
a. Clientes y proveedores
b. Gestores y líderes de TI
c. Inversionistas y accionistas
d. Ejecutivos y directivos
54. LA ORGANIZACIÓN “XYZ” HA DEFINIDO QUE PROCEDIMIENTOS DE CONTROL
RELACIONADO CON LAS FUNCIONES Y RESPONSABILIDADES DE LOS USUARIOS DE LOS
SISTEMAS DE INFORMACIÓN, PARA PODER ESTABLECER LAS ESCALAS SALARIALES Y
CUMPLIR LA NORMA DE LA CONTRALORÍA 410-02
a. Verdadero
b. Falso